1.3. KIỂM SOÁT HỆ THỐNG THƠNG TIN KẾ TỐN TRONG MÔI TRƢỜNG
1.3.3.1. Kiểm soát chung
Kiểm soát chung là các hoạt động kiểm soát đƣợc thiết kế và thực hiện nhằm đảm bảo mơi trƣờng kiểm sốt của doanh nghiệp đƣợc ổn định, vững mạnh.
Mục đích thiết kế thủ tục kiểm soát chung là để đảm bảo độ tin cậy và trung thực của q trình xử lý thơng tin trong mơi trƣờng ứng dụng ERP. Kiểm sốt chung ảnh hƣởng đến tất cả các hoạt động kiểm sốt cịn lại, và là nền tảng kiểm soát quan
trọng và tăng tính hữu hiệu cho các hoạt động kiểm sốt ứng dụng. Kiểm sốt chung có các nhóm thủ tục kiểm sốt quan trọng sau:
Phân chia chức năng, quyền hạn và nhiệm vụ rõ ràng, đầy đủ
Trong môi trƣờng ứng dụng ERP, doanh nghiệp cần phân chia chức năng, quyền hạn và nhiệm vụ cho từng bộ phận, phòng ban và nhân viên một cách khoa học để đảm bảo nguyên tắc bất kiêm nhiệm, làm giảm khả năng sai số và sai phạm.
Việc phân chia trách nhiệm đƣợc thực hiện trên căn cứ khối lƣợng công việc, đặc điểm hoạt động, yêu cầu quản lý của SME, mức độ phức tạp của nghiệp vụ.
Cần tách biệt các chức năng sau: Phân tích, thiết kế hệ thống; Lập trình; Vận hành hệ thống máy tính; Phân quyền ngƣời thực hiện, nhập liệu nghiệp vụ; Quản lý thƣ viện dữ liệu AIS; Kiểm sốt dữ liệu đầu vào và thơng tin đầu ra.
Kiểm soát truy cập hệ thống ERP
(i) Kiểm soát thâm nhập về mặt vật lý
Các thủ tục kiểm soát thâm nhập về mặt vật lý nhằm đảm bảo an tồn cho máy tính, hạn chế thiệt hại vật chất cho máy tính, thiết bị phần cứng, đồng thời hạn chế truy cập hệ thống bất hợp pháp, hạn chế tiết lộ thơng tin bí mật.
Một số các thủ tục kiểm soát cần xác lập:
Hạn chế tiếp cận tài sản: Máy tính, thiết bị phần cứng cần phải đặt trong phịng đƣợc khóa, bảo vệ, đƣợc giám sát sử dụng, ngƣời đƣợc cấp quyền mới đƣợc sử dụng; Có các thiết bị giám sát và cảnh báo; Giới hạn sử dụng các phƣơng tiện có thể truy cập từ xa.
Huấn luyện đầy đủ cho ngƣời dùng bao gồm huấn luyện sử dụng, vận hành máy tính, phần mềm, cách phịng chống virus máy tính, nâng cao ý thức bảo vệ an tồn máy tính.
Sử dụng phần mềm và các giải pháp bảo mật, an ninh mạng máy tính.
Thơng tin thƣờng xun và đầy đủ về an ninh và tăng cƣờng các hoạt động giám sát việc sử dụng máy tính.
(ii) Kiểm sốt truy cập
Kiểm soát truy cập hệ thống là việc giới hạn quyền truy cập hệ thống đối với từng ngƣời dùng, nhằm đảm bảo ngƣời dùng hợp pháp, tăng cƣờng an ninh cho hệ thống và dữ liệu.
Kiểm soát truy cập hệ thống là một nội dung quan trọng của cơng tác kế tốn trong điều kiện ứng dụng ERP. Bởi vì ERP sử dụng cơ sở dữ liệu chung và mang tính liên kết, nên việc truy cập trái phép, dữ liệu bị sửa đổi, đánh cắp thông tin, phá hủy hệ thống, dữ liệu và phần mềm sẽ ảnh hƣởng đến toàn bộ dữ liệu trong doanh nghiệp. Do
đó, cần thiết lập các thủ tục kiểm soát truy cập hệ thống để ngƣời dùng chỉ đƣợc truy cập, sử dụng hệ thống, dữ liệu đã đƣợc cấp quyền.
Sau đây là một số thủ tục kiểm soát truy cập hệ thống cơ bản:
Các chính sách, quy định về bảo mật, về quyền truy cập phải đƣợc trình bày bằng văn bản, quy định và hƣớng dẫn cụ thể.
Phân quyền cho ngƣời dùng quyền truy cập, sử dụng hệ thống, dữ liệu:
Xác định ngƣời dùng, xác định chƣơng trình, chức năng hay dữ liệu
đƣợc phép sử dụng hay truy cập. Ngƣời dùng chỉ có thể truy cập đến hệ thống, dữ liệu liên quan đến chức năng, nhiệm vụ đã đƣợc cấp quyền sử dụng.
Sử dụng các giải pháp bảo mật, nhận dạng ngƣời dùng.
Sử dụng mật khẩu và thay đổi mật khẩu trong một thời gian nhất định.
Sử dụng phƣơng tiện nhận dạng cá nhân nhƣ thẻ từ, hay cũng có thể kết hợp giữa phƣơng tiện nhận dạng cá nhân và mật khẩu.
Ngồi ra, cịn có thủ tục kiểm sốt nhận dạng đặc điểm sinh học nhƣ: nhận dạng dấu vân tay, giọng nói... Các hệ thống này có tính bảo mật và an toàn cao. Tuy nhiên chi phí cho hệ thống cũng rất lớn. Do đó, thủ tục này thƣờng không đƣợc các SME sử dụng.
Sau khi phân quyền truy cập, cần đánh giá và kiểm tra lại thủ tục kiểm soát truy cập hệ thống bằng cách sử dụng hộp lƣu, lập ma trận kiểm soát truy cập để kiểm tra tính tƣơng thích chức năng.
Kiểm sốt lƣu trữ dữ liệu
Mục tiêu của việc kiểm soát lƣu trữ dữ liệu nhằm đảm bảo an toàn dữ liệu. Khi ứng dụng ERP, bất kỳ doanh nghiệp nào cũng cần có các quy định bằng văn bản hƣớng dẫn cách thức lƣu trữ, sao lƣu và phục hồi dữ liệu.
Doanh nghiệp cần quy định rõ ràng, cụ thể đối với cá nhân đồng thời tổ chức kế hoạch về thời gian sao lƣu, phƣơng pháp, trách nhiệm trong quá trình sao lƣu.
Các thủ tục kiểm soát chủ yếu:
(i) Kiểm soát trang thiết bị lưu trữ dữ liệu
Máy tính, các thiết bị phần cứng, thiết bị lƣu trữ nhƣ đĩa cứng, đĩa mềm, đĩa nén hay đĩa CD là thiết bị khá nhạy cảm, không đáp ứng tốt nếu mất ổn định của nguồn điện, nhiệt độ khắc nghiệt, bụi bẩn, độ ẩm cao,... Do đó, trang thiết bị chứa và lƣu trữ dữ liệu cần đƣợc đảm bảo an toàn vật lý và mơi trƣờng vận hành an tồn.
(ii) Kiểm sốt sao lưu dự phịng dữ liệu
Hàng ngày, hệ thống phải xử lý và cập nhật nhiều dữ liệu. Do đó, ngồi việc lƣu trữ dữ liệu trên ổ cứng của máy tính cũng cần có những lƣu trữ đồng thời ở các thiết bị
khác nhƣ USB, đĩa CD,...để hạn chế sự mất dữ liệu do các nguyên nhân khách quan hay chủ quan.
Các nhà quản lý cần ban hành các chính sách, thủ tục kiểm sốt lƣu trữ dữ liệu. Những chính sách này phải mơ tả phƣơng pháp, thời gian sao lƣu, quy trình sao lƣu, phục hồi cũng nhƣ trách nhiệm, nhiệm vụ, các cá nhân có liên quan đến việc sao lƣu, bảo dƣỡng và phục hồi dữ liệu. Tùy theo phƣơng thức tổ chức xử lý dữ liệu mà doanh nghiệp lựa chọn giải pháp, phƣơng thức sao lƣu dự phòng phù hợp.
Tiến hành thực hiện các thủ tục sao lƣu dự phòng các tập tin dữ liệu.
Thực hiện kiểm tra định kỳ hiệu quả của việc sao lƣu dữ liệu bằng cách chuyển dữ liệu từ trạng thái lƣu trữ sang trạng thái sử dụng chính thức để kiểm tra lại dữ liệu cịn vận hành đƣợc hay khơng.
(iii) Kiểm sốt truyền tải dữ liệu
Việc lƣu trữ dữ liệu còn phụ thuộc vào đƣờng truyền dữ liệu; cho nên cần phải kiểm tra thƣờng xuyên đƣờng truyền để đảm bảo đƣờng truyền dữ liệu luôn ổn định, không bị nghẽn mạch giúp cho việc lƣu trữ dữ liệu đƣợc diễn ra suôn sẻ.
Trong quá trình truyền tải dữ liệu, có rất nhiều nguy cơ dẫn đến rủi ro. Các doanh nghiệp phải giám sát thƣờng xuyên mạng máy tính để phát hiện những điểm yếu về an ninh, tăng cƣờng các thủ tục sao lƣu dữ liệu.
Kế hoạch phục hồi sau thiệt hại
Hoạt động của một doanh nghiệp có thể gặp phải các thiệt hại do cháy, nỗ, lũ lụt, động đất hay khủng bố gây ra. Khi xảy ra những trƣờng hợp này, AIS sẽ bị phá hủy. Do đó, doanh nghiệp cần có kế hoạch phục hồi sau thiệt hại nhằm đẳm bảo hệ thống hồi phục nhanh khi thiên tai, hỏa hoạn, phá hoại hoặc những bất trắc xảy ra.
Một số thủ tục kiểm soát:
Xác định các ứng dụng phải có để hệ thống vận hành, trang bị phần cứng, thứ tự ƣu tiên của các hoạt động phục hồi hệ thống.
Sao lƣu dự phịng tồn bộ hệ thống, bao gồm cả dữ liệu và chƣơng trình. Xác định trách nhiệm cho một cá nhân hay một nhóm tiến hành các hoạt động phục hồi hệ thống bao gồm chuẩn bị địa điểm, mua sắm, cài đặt trang bị, cài đặt phần mềm, phục hồi và chuyển giao dữ liệu.
Lập và hoàn chỉnh tài liệu hƣớng dẫn về hệ thống, về phục hồi hệ thống sau thiệt hại. Các tài liệu nên có nhiều phiên bản và cất giữ an tồn ở nhiều nơi khác nhau.
Mua bảo hiểm trang thiết bị.
Sử dụng dịch vụ sao lƣu và phục hồi hệ thống. Chuẩn hóa các tài liệu hệ thống
Tài liệu là nguồn thơng tin tốt nhất về các tính năng kiểm sốt chƣơng trình. Tài liệu hệ thống cần đƣợc chuẩn hóa, phân loại và lƣu trữ nhằm phục vụ cho yêu cầu thẩm định, xem xét và đánh giá AIS. Các tài liệu hệ thống này còn đƣợc sử dụng để cập nhật, bảo trì hoặc tái phát triển hệ thống.
Tài liệu hệ thống bao gồm các nhóm sau:
Tài liệu quản trị: Bao gồm các tài liệu mô tả các thủ tục, quy định của quá trình xử lý dữ liệu, các thủ tục và quyền truy cập hệ thống.
Tài liệu ứng dụng: Bao gồm các tài liệu mô tả về hệ thống ứng dụng trong AIS. Các tài liệu này trình bày việc nhập liệu, các bƣớc xử lý, kết xuất và các hƣớng dẫn sửa lỗi của mỗi hệ thống ứng dụng.
Tài liệu vận hành hệ thống: Bao gồm các yêu cầu về cấu hình phần cứng danh sách, mơ tả các tập tin chƣơng trình, tập tin dữ liệu, các lƣu ý về các nguy cơ dẫn đến lỗi chƣơng trình và các hƣớng dẫn khắc phục các thiệt hại nếu có sự cố.
Dấu vết kiểm toán
AIS trong điều kiện ứng dụng ERP phải hỗ trợ các thủ tục tạo ra các dấu vết kiểm tốn. Điều này địi hỏi phần mềm phải đƣợc thiết kế sẵn các thủ tục này.
Khơng đƣợc xóa hay sửa số liệu trực tiếp trên hệ thống nhƣ là các số liệu đã ghi sổ, kết chuyển sau khi khóa kỳ kế tốn.
Điều chỉnh số liệu kế toán phải tuân thủ theo các quy định: Phải nhập bút toán đảo, các bút toán ghi bổ sung, các bút toán ghi số âm.
Phần mềm hỗ trợ tự động ghi nhận các hành vi truy cập hệ thống, chỉnh sửa, thêm, xóa dữ liệu vào một tập tin riêng. Tập tin này phải đƣợc bảo mật tối đa, khơng đƣợc xóa hay sửa. Ngƣời dùng có quyền cao nhất trong hệ thống cũng chỉ đƣợc quyền xem và in báo cáo dấu vết kiểm toán. Các dữ liệu cần đƣợc ghi nhận trong tập tin này bao gồm: Ngày, giờ, phân hệ truy cập, ngƣời truy cập, số chứng từ, dữ liệu gốc, dữ liệu sau khi chỉnh sửa.
1.3.3.2. Kiểm sốt ứng dụng (Kiểm sốt chu trình nghiệp vụ)
Là các chính sách, biện pháp, hoạt động kiểm soát thiết kế và thực hiện nhằm đảm bảo quy trình nghiệp vụ đƣợc thực hiện một cách đầy đủ và chính xác. Ví dụ nhƣ: quy trình doanh thu, quy trình chi phí, chu trình sản xuất,…
Mục tiêu của kiểm soát ứng dụng là ngăn ngừa, phát hiện, hạn chế và sửa chữa sai sót, gian lận trong quá trình xử lý nghiệp vụ. Ngồi ra kiểm sốt ứng dụng cịn nhằm đảm bảo cung cấp thơng tin chính xác, kịp thời và đúng đối tƣợng sử dụng. Kiểm soát ứng dụng bao gồm:
Kiểm soát quá trình xử lý dữ liệu Kiểm sốt thơng tin đầu ra
Các thủ tục kiểm soát quan trọng gồm: Tổ chức xét duyệt, xây dựng quy trình thực hiện, thiết lập kiểm sốt cho từng màn hình nhập liệu, kiểm tra kết quả xử lý.
Hoạt động kiểm sốt ứng dụng đƣợc thực hiện thơng qua các thủ tục kiểm sốt đƣợc lập trình sẵn trên phần mềm và các thủ tục kiểm soát đƣợc thiết lập và thực hiện bên ngoài phần mềm bởi con ngƣời. Do đó, cần có sự kết hợp hài hồ giữa các thủ tục này sao cho đạt đƣợc các mục tiêu kiểm sốt ứng dụng đề ra.
Chu trình doanh thu
(i) Mục tiêu kiểm soát
Tất cả các nghiệp vụ đều đƣợc xét duyệt
Các nghiệp vụ xét duyệt đều đƣợc thực hiện đúng đắn Các nghiệp vụ ghi chép đều có thực
Ghi chép đầy đủ và chính xác các nghiệp vụ hợp lệ Các hoạt động hữu hiệu và hiệu quả
(ii) Các hoạt động kinh tế trong chu trình doanh thu:
Nhận đặt hàng của khách hàng.
Giao hàng hóa hoặc dịch vụ cho khách hàng. Lập hoá đơn và ghi nhận doanh thu
Nhận tiền thanh toán
(iii) Một số hoạt động kiểm sốt trong Chu trình doanh thu
Xem Phụ lục 1. Một số hoạt động kiểm sốt trong Chu trình doanh thu.
Chu trình chi phí
(i) Mục tiêu kiểm soát
Kiểm soát nghiệp vụ: Kiểm sốt q trình thực hiện các hoạt động trong chu trình chi phí
Tất cả các hoạt động đều đƣợc xét duyệt
Tất cả các nghiệp vụ xét duyệt đều đƣợc thực hiện đúng nhà cung cấp,
mặt hàng, giá mua
Các hoạt động hữu hiệu và hiệu quả
Kiểm sốt ghi nhận, xử lý thơng tin
Ghi chép, nhập liệu đầy đủ nội dung các hoạt động hợp lệ Ghi chép, nhập liệu chính xác các hoạt động
Cập nhật thông tin đúng nhà cung cấp, hàng hóa
Doanh nghiệp đặt hàng hay dịch vụ Nhận hàng hay dịch vụ từ nhà cung cấp Nhận hóa đơn, ghi nhận nợ phải trả
Doanh nghiệp thanh toán tiền cho nhà cung cấp
(iii) Một số hoạt động kiểm sốt trong chu trình chi phí
Xem Phụ lục 2. Một số hoạt động kiểm sốt trong Chu trình chi phí.
KẾT LUẬN CHƢƠNG 1
Trên cơ sở tìm hiểu những vấn đề cơ bản về hệ thống thơng tin kế tốn, hệ thống ERP và sự ảnh hƣởng của hệ thống ERP đối với AIS, tác giả giúp cho các doanh nghiệp có cái nhìn tổng quan về việc kiểm sốt AIS tại doanh nghiệp trong môi trƣờng ứng dụng ERP.
ERP có khả năng tạo ra mối liên kết chặt chẽ trong doanh nghiêp, thông tin cung cấp liên tục và kịp thời, giới hạn khơng gian và thời gian khơng cịn là rào cản lớn đối với doanh nghiệp. Tuy nhiên, bên cạnh những lợi ích mà ERP đem lại thì cũng cịn các rủi ro ảnh hƣởng đến tính trung thực, hợp lý và đáng tin cậy của AIS. Đề tài trình bày những thủ tục cơ bản để kiểm soát những rủi ro mới phát sinh do đặc điểm riêng của môi trƣờng ứng dụng ERP, chủ yếu là hoạt động kiểm sốt trong chu trình doanh thu và chu trình chi phí.
CHƯƠNG 2. THỰC TRẠNG HOẠT ĐỘNG KIỂM SỐT CHU TRÌNH DOANH THU VÀ CHU TRÌNH CHI
PHÍ TRONG MƠI TRƢỜNG ỨNG DỤNG ERP TẠI DOANH NGHIỆP NHỎ VÀ VỪA Ở THÀNH PHỐ HỒ
CHÍ MINH
2.1. TỔNG QUAN VỀ DOANH NGHIỆP NHỎ VÀ VỪA 2.1.1. Các tiêu chuẩn xác định doanh nghiệp nhỏ và vừa 2.1.1. Các tiêu chuẩn xác định doanh nghiệp nhỏ và vừa
Hiện nay ở các nƣớc trên thế giới, khái niệm SME chỉ mang tính chất tƣơng đối về thời gian lẫn không gian. Mỗi nƣớc có những tiêu chí riêng để xác định quy mơ SME, do đó quy mơ SME ở các nƣớc có thể khác nhau.
Theo quan niệm của Ngân hàng thế giới (WB), SME là những doanh nghiệp có quy mơ nhỏ bé về phƣơng diện vốn, lao động, doanh thu. SME có thể chia thành ba loại. Cũng căn cứ vào quy mơ đó là doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ và doanh nghiệp vừa. Trong đó, doanh nghiệp siêu nhỏ là doanh nghiệp có số lƣợng lao động dƣới 10 ngƣời; doanh nghiệp nhỏ có số lƣợng lao động từ 10 đến dƣới 50 ngƣời, còn doanh nghiệp vừa có số lƣợng lao động từ 50 đến 300 ngƣời.
Theo quan niệm Việt Nam, Nghị định số 90/2001/NĐ-CP ban hành ngày 23 tháng 01 năm 2001 xác định SME là cơ sở sản xuất, kinh doanh độc lập, đã đăng ký kinh doanh theo pháp luật hiện hành, có vốn đăng ký khơng q 10 tỷ đồng hoặc có số lao động trung bình hàng năm khơng q 300 ngƣời. Nhƣ vậy, theo quan niệm của